Многие (хабро)люди рискуют «профукать все полимеры», используя сервисы Яндекса для сбора корреспондеции или фильтрации спама с других почтовых ящиков. Вопрос встал особенно остро, когда с недавних пор в Я.Онлайне появилась опция слежения за несколькими почтовыми аккаунтами. Если злоумышленники выкрадут\подберут ключи к Вашей учетке, то у них в руках тут же окажутся вторичные явки\пароли. Как ребята из Яндекса могли допустить такой промах, я ума не приложу. Кстати, ситуация актуальна уже несколько лет. Ниже приводится иллюстрация уязвимости.Топик подготовлен jeditobe, опубликован мной, так как у автора не хватает кармы. Это первый его пост.
1.Заходим в Яндекс.Почту, далее жмем по ссылкам «настройки» и «вид почты».
2.Выбираем «классический» интерфейс.
3.Жмем по ссылкам «настройки» и «сбор почты»
4.Подаем на страницу со списком всех ящиков, которые мониторит сборщик.
5.Выбираем любую из заинтересовавших записей, кликнув на соответствующую ссылку — откроется всплывающее окно с настройками.
6. Заглядываем в исходный код содержимого всплывающего окна и среди немногочисленных срок находим несколько весьма интересных.
Яндекс использует для этих страниц протокол http://, что позволяет перехватить в сетевом трафике логины и пароли.
UPD Перенесено в блог Информационная безопасность
UPD2 Ответ сотрудника Яндекса
